Informe d e Advanced

I n f o r m e

d e

A d v a n c e d

T h r e a t

R e s e a r c h

o c t . 2 0 2 1

INFORME

3 Carta de nuestro científico jefe

4 RANSOMWARE

4 Incremento de la prevalencia del ransomware 6 Dos foros clandestinos expulsan al ransomware

más próspero8 Sectores objetivo del ransomware: diferencia de

datos entre la inteligencia de acceso público y la telemetría

9 Principales patrones/técnicas de MITRE ATT&CK empleadas por las familias de ransomware (T2 2021)

10 B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo

11 AMENAZAS en la nube

11 Prevalencia de amenazas en la nube 11 Sectores en la nube a nivel mundial (T2 2021)12 Total de incidentes en la nube por sectores

a nivel mundial y en EE. UU. (T2 2021)13 Incidentes en sectores en la nube por país (T2 2021)

13 Amenazas por países, continentes, sectores y vectores

13 Países y continentes (T2 2021)13 Sectores atacados (T2 2021)13 Vectores atacados (10 principales, T2 2021)

14 Principales técnicas utilizadas según Mitre Att&ck (T2 2021)

17 Cómo defenderse de estas amenazas

18 Recursos

18 Twitter

Informe de Advanced Threat Research (octubre de 2021)

INFORME

2

Índice

Redacción e investigación

Christiaan Beek

Ashley Dolezal

John Fokker

Melissa Gaffney

Tracy Holden

Tim Hux

Phillippe Laulheret

Douglas McKee

Lee Munson

Chris Palm

Tim Polzer

Steve Povolny

Raj Samani

Pankaj Solanki

Leandro Velasco

Hemos colocado el foco en la prevalencia. Ahora el equipo está atento a la frecuencia con la que vemos una amenaza en el mundo. Y lo que es más importante, a quién se dirige.

Carta de nuestro científico jefe

Le damos la bienvenida a un NUEVO informe sobre amenazas y a una NUEVA empresa.

Han cambiado muchas cosas desde nuestro último informe sobre amenazas. Nos enteramos de que, a pesar del cambio de imagen de marca, el grupo de ransomware DarkSide no desapareció, y creyeron que no caeríamos en su supuesta conexión con BlackMatter. Además, nuestros recientes hallazgos relativos a las bombas de infusión que se emplean en el ámbito sanitario demuestran la importancia de la investigación en materia de seguridad (encontrará más información en el informe).

En cuanto al equipo y a mí, nos hemos trasladado a McAfee Enterprise, una nueva empresa dedicada a la ciberseguridad empresarial, por lo que ya no publicaremos nuestro trabajo con McAfee Labs. Pero no se preocupe, seguimos disponibles en nuestra nueva cuenta de Twitter de McAfee Enterprise ATR: @McAfee_ATR.

Por supuesto, los cambios de los que hablamos tienen mucho más calado que un simple feed de Twitter, y algunos de ellos se reflejan en nuestro nuevo informe sobre amenazas. Hemos colocado el foco en la prevalencia. El equipo ahora está atento a la frecuencia con la que vemos una amenaza en el mundo. Y lo que es más importante, a quién se dirige. Estos hallazgos están respaldados por análisis adicionales, que se detallan en el informe para incorporar las investigaciones activas sobre los autores de las amenazas, así como las vulnerabilidades que se explotan en el presente y que podrían aprovecharse más adelante.

Esperamos que disfrute de este nuevo formato, y agradecemos sus comentarios sobre lo que más le ha gustado y lo que no le ha entusiasmado del todo. Y especialmente, nos gustaría saber qué le interesaría leer en los próximos números.

Siga en contacto con nosotros.

—Raj Samani

Científico jefe de McAfee Enterprise y miembro del equipo

Twitter @Raj_Samani


INFORME

3

https://twitter.com/mcafee_atr

https://twitter.com/Raj_Samani

RANSOMWARE

Incremento de la prevalencia del ransomware

A medida que el año 2021 avanzaba por su segundo trimestre y se adentraba en el tercero, los ciberdelincuentes plantearon amenazas y tácticas nuevas y actualizadas en campañas dirigidas a los sectores importantes. Las campañas de ransomware mantuvieron su prevalencia mientras cambiaban sus modelos de negocio para extraer datos valiosos y conseguir rescates millonarios de empresas de todos los tamaños.

El sonadísimo ataque de DarkSide a la distribución de gas de Colonial Pipeline acaparó los titulares de mayo en materia de ciberseguridad. MVISION Insights identificó rápidamente la temprana prevalencia de DarkSide hacia objetivos en Estados Unidos, principalmente en los sectores de los servicios jurídicos, la venta al por mayor y la fabricación, el petróleo, el gas y los productos químicos.

El cierre en Estados Unidos de una de las mayores cadenas de suministro de gas atrajo toda la atención de los funcionarios públicos y de los centros de operaciones de seguridad, pero igualmente preocupantes resultaron ser otros grupos de ransomware que operaban con modelos de afiliados similares. Los ransomware Ryuk, REvil, Babuk y Cuba desplegaron activamente modelos de negocio que apoyaban la intervención de otros para explotar vectores de entrada habituales y herramientas similares. Estos grupos —entre otros y sus afiliados— emplean vectores de entrada habituales y, además, en muchos casos, utilizan las mismas herramientas para desplazarse por un entorno. Poco después del ataque de DarkSide, el grupo REvil se llevó todo el protagonismo tras utilizar una carga útil de Sodinokibi en su ataque de ransomware a Kaseya, un proveedor global de infraestructuras de TI. El ataque de REvil mediante Sodinokibi lideró nuestra lista de detecciones de ransomware en el segundo trimestre de 2021.


INFORME

4


RANSOMWARE

B. Braun: se descubren vulnerabilidades en una bomba de infusión que se utiliza en todo el mundo

AMENAZAS EN LA NUBE

Amenazas por países, continentes, sectores y vectores

Principales técnicas utilizadas según Mitre Att&ck (T2 2021)

Cómo defenderse de estas amenazas

Recursos

https://www.mcafee.com/enterprise/es-mx/lp/insights-preview.html

Detecciones por familia de ransomware

T1 2021 T2 2021

REvil/Sodinokibi

RansomeXX

Ryuk

Netwalker

Thanos

MountLocker

WastedLocker

Exorcist

Conti

Maze

Figura 1. El ataque de REvil/Sodinokibi lideró nuestra lista de detecciones de ransomware en el segundo trimestre de 2021 y representó el 73 % de nuestras diez detecciones de ransomware más relevantes.

Mientras DarkSide y REvil regresaban a las sombras tras sus sonados ataques, en julio surgió un heredero de DarkSide. El ransomware BlackMatter apareció fundamentalmente en Italia, India, Luxemburgo, Bélgica, Estados Unidos, Brasil, Tailandia, Reino Unido, Finlandia e Irlanda como un programa de afiliados de ransomware como servicio con rasgos de DarkSide, REvil y el ransomware LockBit. Por la similitud del código del archivo binario y el parecido de su página pública con DarkSide, todos coinciden en que es muy probable que el ransomware BlackMatter sea una continuación del ransomware DarkSide, cosa que BlackMatter ha negado.


INFORME

5


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

A mediados de 2021 se descubrió otro "viejo" ransomware, pero con un toque diferente. El ransomware LockBit 2.0 es una versión actualizada del LockBit de 2020 con nuevas funciones que cifran automáticamente los dispositivos de todo un dominio, filtran datos y acceden a los sistemas mediante RDP, y tienen también la capacidad de reclutar a nuevos afiliados desde dentro de la empresa víctima.

Los desarrolladores de ransomware también lanzaron nuevas campañas. En junio de 2021 se descubrió por primera vez la familia de ransomware Hive (principalmente en India, Bélgica, Italia, Estados Unidos, Turquía, Tailandia, México, Alemania, Colombia y Ucrania) con un funcionamiento de ransomware como servicio escrito en el lenguaje Go que amenazó a organizaciones sanitarias y de infraestructuras esenciales.

Nuestro equipo analiza el ransomware en más detalle, estudiando tanto la reacción inesperada de los foros clandestinos como los sectores objetivo y la diferencia (delta) entre la inteligencia de acceso público y la telemetría.

Dos foros clandestinos expulsan al ransomware más próspero

El segundo trimestre de 2021 fue trepidante para el ransomware, que se ganó su puesto como tema candente en la agenda de ciberseguridad de la administración estadounidense. No obstante, la situación también cambió en los foros clandestinos en los que se reúnen los ciberdelincuentes, que hasta entonces habían sido seguros para ellos.

El impacto de lo que supone un ataque de ransomware quedó muy patente cuando Colonial Pipeline se vio obligada a cerrar por un ataque del ransomware DarkSide. Este brusco parón de la cadena de suministro afectó a buena parte del este de Estados Unidos, y dio lugar a una frenética carrera ciudadana por conseguir combustible. El ataque y el consiguiente impacto que tuvo en los consumidores y en la economía evidenciaron la verdadera magnitud del ransomware, y captaron toda la atención de las fuerzas de seguridad.

La respuesta política que se dio ante el ataque a Colonial Pipeline ocasionó que el grupo de ransomware DarkSide detuviera repentinamente su actividad. Otros grupos de ciberdelincuentes anunciaron serían más selectivos con sus futuros objetivos y dejarían determinados sectores al margen.

Una semana después, dos de los foros clandestinos más influyentes, XSS y Exploit, anunciaron que prohibirían los anuncios de ransomware. Durante años, estos mismos foros sirvieron de refugio para la ciberdelincuencia y el auge del ransomware, que propiciaron un elevado volumen de violaciones de seguridad de redes, registros de ladrones y servicios de encriptación, entre otra actividad. Teniendo en cuenta que muchos de los ciberdelincuentes que pertenecen a las principales familias de ransomware son delincuentes profesionales y suelen tener una estrecha relación con los administradores y los moderadores de los foros, creemos que este paso se dio precisamente para preservar la existencia de dichos foros.


INFORME

6


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

A pesar de que prohibieron las identidades online asociadas al ransomware, nuestro equipo ha observado que los mismos ciberdelincuentes siguen activos en varios foros con otras identidades.

Figura 2. Mensaje del administrador de XSS pidiendo la prohibición del ransomware

En ese momento, el grupo de ransomware Babuk estaba enfrascado en sus propios asuntos; sobre uno en concreto —un almacén *nix ESXi defectuoso— hemos escrito profusamente en nuestro blog.

Finalmente, las disputas internas del equipo de Babuk desembocaron en una separación y en el inicio de un nuevo foro llamado RAMP dedicado al ransomware, donde muchos de los ciberdelincuentes dedicados a esta práctica se reúnen ahora para tratar sus asuntos y compartir TTP. A pesar de la prohibición por parte de algunos de los principales foros de ciberdelincuentes, el ransomware no ha dado muestras de estar perdiendo fuerza y todavía debe considerarse una de las ciberamenazas más perjudiciales a las que pueden enfrentarse organizaciones de cualquier tamaño.


INFORME

7


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

https://www.mcafee.com/enterprise/en-us/assets/reports/rp-babuk-moving-to-vm-nix-systems.pdf

Sectores objetivo del ransomware: diferencia de datos entre la inteligencia de acceso público y la telemetría

Muchos equipos de ransomware tienen portales en los que revelan quiénes son las víctimas cuya seguridad han vulnerado y exhiben muestras de los datos que han obtenido para obligar a las víctimas a pagar el rescate; de lo contrario, filtrarán sus datos o, en algunos casos, los venderán. Los sitios de filtraciones son escaparates de negociaciones fallidas y no reflejan la magnitud total de los ataques que los equipos de ransomware ejecutan; sin embargo, es interesante observar los datos de los sectores y las zonas geográficas afectados.

Nuestro equipo monitoriza muchas de esas páginas, recopila los nombres de las familias de ransomware y relaciona las víctimas con un sector y un país. Tras reunir estos datos y compilarlos, observamos que las familias de ransomware dirigen sus ataques a los siguientes diez principales sectores en Estados Unidos:

T1 2021 T2 2021

Administración pública

Telecomunicaciones

Energía

Comunicaciones y medios de comunicación

Industria

Educación

Contabilidad y servicios jurídicos

Tecnología

Finanzas

Transporte y envío

Figura 3. La administración pública fue el sector más atacado por el ransomware en el segundo trimestre de 2021, seguido de las telecomunicaciones, la energía y los medios de comunicación.


INFORME

8


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

Gracias al punto de vista que nos ofrece la telemetría, obtenido mediante sensores en Estados Unidos, hemos podido comparar la actividad de ransomware detectada con respecto a los sectores que la inteligencia de acceso público (OSINT) ha identificado:

Sectores detectados mediante telemetría

Sectores identificados mediante OSINT

Administración pública Fabricación

Finanzas Comercio minorista

Educación Atención sanitaria

Telecomunicaciones Construcción

Energía Transporte

Medios de comunicación Educación

Industria Empresas

Bienes inmuebles Servicios jurídicos

Servicios jurídicos Finanzas

Tecnología TI

Tabla 1. Cuanto mayor sea la distancia de un mismo sector entre las dos listas, mejor protegido estará; a menor distancia, mayor riesgo de sufrir un ataque de ransomware.

¿Qué significa esa diferencia? ¿Cuál es el delta? Desde la perspectiva de nuestra telemetría, observamos la actividad de ransomware que se ha detectado y bloqueado en el sector en el que tenemos clientes. Que la administración pública sea el primer sector objetivo en nuestra telemetría revela los numerosos intentos dirigidos a este sector que NO han tenido éxito. En los sectores señalados por la OSINT, observamos que los que demandan grandes prestaciones de servicios de TI para respaldar servicios empresariales esenciales ocupan un lugar destacado en la lista de objetivos de los grupos de ransomware.

Principales patrones/técnicas de MITRE ATT&CK empleadas por las familias de ransomware (T2 2021)

Patrón de ataque/técnica1. Datos cifrados para generar un impacto

2. Descubrimiento de archivos y directorios

3. Archivos o información ocultos

4. Inyección de procesos

5. Desofuscación/descodificación de archivos o información

6. Descubrimiento de procesos

7. Inhibición de la recuperación del sistema

8. PowerShell

9. Descubrimiento de información del sistema

10. Modificación del registro

Tabla 2. Los datos cifrados para generar un impacto fueron el patrón de ataque que más se detectó en el segundo trimestre de 2021.


INFORME

9


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos


El sector sanitario se enfrenta a retos de seguridad inéditos. Un posible ataque a un centro médico podría representar una amenaza aún mayor que un ataque de ransomware a todo un sistema. Nuestro equipo, en colaboración con Culinda, descubrió una serie de vulnerabilidades en las bombas B. Braun Infusomat Space Large Pump y B. Braun SpaceStation.

Nuestra investigación nos llevó a descubrir cinco vulnerabilidades en el sistema médico de las que no había constancia:

1. CVE-2021-33886: uso de una cadena de formato controlada desde el exterior (CVSS 7.7)

2. CVE-2021-33885: verificación insuficiente de la autenticidad de los datos (CVSS 9.7)

3. CVE-2021-33882: falta de autentificación para una función crítica (CVSS 8.2)

4. CVE-2021-33883: transmisión de información confidencial mediante texto no cifrado (CVSS 7.1)

5. CVE-2021-33884: carga sin restricciones de archivos de tipo peligroso (CVSS 5.8)

Alguna persona malintencionada podría aprovechar todas estas vulnerabilidades en conjunto para modificar la configuración de una bomba mientras se encuentre en reposo. Ello conllevaría que a un paciente se le administrase una dosis incorrecta de medicación en su próximo uso, y sin necesidad de que el atacante se autenticase.

Poco después de que nuestro equipo comunicase a B. Braun los primeros hallazgos, la empresa respondió y colaboró con nuestro equipo para adoptar las medidas de mitigación que indicamos en nuestro informe de divulgación.

Los resultados de nuestra investigación ofrecen una perspectiva general y algunos datos técnicos de la cadena de ataque de mayor relevancia, junto con información sobre cómo abordar los desafíos especiales a los que se enfrenta el sector sanitario. Si desea consultar un breve resumen, lea nuestra publicación de blog.


INFORME

10


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-33886





https://www.mcafee.com/blogs/enterprise/mcafee-enterprise-atr/overmedicated-breaking-the-security-barrier-of-a-globally-deployed-infusion-pump

Amenazas en la nube

Prevalencia de amenazas en la nube

El reto que les supuso a las organizaciones adaptar la seguridad a través de la nube para dar cabida a una plantilla de trabajadores más flexible durante la pandemia y, al mismo tiempo, mantener e incluso aumentar las cargas de trabajo les ha ofrecido a los ciberdelincuentes incluso más vulnerabilidades y objetivos potenciales en el segundo trimestre de 2021.

La investigación de nuestro equipo sobre amenazas en la nube descubrió que el sector de servicios financieros fue el que más ataques sufrió en las campañas de amenazas en la nube en ese mismo trimestre.

Amenazas en la nube más habituales (T2 2021)1. Uso excesivo desde una ubicación anómala

2. Filtración de datos interna

3. Uso indebido de privilegios de acceso

4. Alto riesgo de filtración de datos

5. Filtración de privilegios de acceso

6. Acceso, propagación y filtración

7. Comportamiento superhumano sospechoso

8. Filtración de datos por parte de un usuario con privilegios

Tabla 3. Definición de Uso excesivo desde una ubicación anómala: El usuario ha accedido a un gran volumen de datos (o lo ha descargado) en un corto espacio de tiempo. Supone un hecho grave cuando 1) los usuarios de la empresa nunca han accedido a un volumen tan grande, y 2) el volumen de datos es elevado incluso si corresponde a un grupo numeroso de usuarios. Las amenazas de Uso excesivo desde una ubicación anómala ocuparon el primer puesto del ranking de amenazas mundiales en la nube, seguidas de Filtraciones de datos interna y Uso indebido de privilegios de acceso. Las amenazas de Uso excesivo desde una ubicación anómala representaron el 62 % de las amenazas registradas.

Sectores en la nube a nivel mundial (T2 2021)

Empresas1. Servicios financieros

2. Atención sanitaria

3. Fabricación

4. Comercio minorista

5. Servicios profesionales

6. Viajes y hostelería

7. Software e internet

8. Tecnología

9. Informática y electrónica

10. ONG

Tabla 4. Los servicios financieros fueron el sector más atacado según los incidentes en la nube que se registraron, seguido por sanidad, fabricación, comercio minorista y servicios profesionales. Los incidentes en la nube que afectaron a los servicios financieros representaron el 33 % de los diez principales sectores atacados, seguidos por el de sanidad y fabricación (8 %).


INFORME

11


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

Total de incidentes en la nube por sectores a nivel mundial y en EE. UU. (T2 2021)

Sector en la nube País 1. Servicios financieros EE. UU.

2. Servicios financieros Singapur

3. Sector sanitario EE. UU.

4. Comercio minorista EE. UU.

5. Servicios profesionales EE. UU.

6. Servicios financieros China

7. Fabricación EE. UU.

8. Servicios financieros Francia

9. Comercio minorista Canadá

10. Servicios financieros Australia

Tabla 5. A nivel mundial, los servicios financieros fueron el objetivo del 50 % de los diez principales incidentes ocurridos en la nube en el segundo trimestre de 2021, incluidos los incidentes en Australia, Canadá, China, Estados Unidos, Francia y Singapur. Los incidentes en la nube dirigidos a sectores en Estados Unidos representaron el 34 % de los incidentes registrados en los diez primeros países.

Sector en la nube en EE. UU.1. Servicios financieros

2. Atención sanitaria

3. Comercio minorista

4. Servicios profesionales

5. Fabricación

6. Medios de comunicación y entretenimiento

7. Viajes y hostelería

8. Administración pública

9. Software e internet

10. Servicios educativos

Tabla 6. Los servicios financieros fueron el principal objetivo de las amenazas en la nube en Estados Unidos en el segundo trimestre de 2021. Los incidentes dirigidos a los servicios financieros representaron el 29 % del total de incidentes en la nube entre los diez principales sectores.


INFORME

12


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

Incidentes en la nube por país (T2 2021)

País1. Estados Unidos

2. India

3. Australia

4. Canadá

5. Brasil

6. Japón

7. México

8. Reino Unido

9. Singapur

10. Alemania

Tabla 7. El mayor número de incidentes en la nube dirigidos a un país concreto se registró en Estados Unidos, seguido de India, Australia, Canadá y Brasil. Los incidentes en la nube dirigidos a Estados Unidos representaron el 52 % de los registrados en los diez primeros países.


Países y continentes (T2 2021)

Incrementos destacables de incidentes denunciados públicamente por países y continentes, durante el segundo trimestre de 2021:

� Estados Unidos fue el país donde más incidentes se registraron.

� En Europa se produjo el mayor aumento de incidentes registrados en este periodo: un 52 %.

Sectores atacados (T2 2021)

Incrementos destacables de incidentes denunciados públicamente contra sectores, durante el segundo trimestre de 2021:

� Los ataques se solían dirigir a varios sectores.

� Entre los sectores que más incremento han observado se encuentran el público (64 %) y el del entretenimiento (60 %).

Vectores atacados (T2 2021)

Incrementos destacables de incidentes denunciados públicamente contra vectores, durante el segundo trimestre de 2021:

� El malware fue la técnica más utilizada en los incidentes comunicados.

� El spam mostró el mayor aumento de incidentes comunicados con respecto al primer trimestre de 2021 (250 %), seguido de los scripts maliciosos (125 %) y el malware (47 %).


INFORME

13


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

PRINCIPALES TÉCNICAS UTILIZADAS SEGÚN MITRE ATT&CK (T2 2021)

TácticasTécnicas (5 principales por táctica) Observaciones

Acceso inicial Adjunto de phishing dirigido

El phishing dirigido (mediante enlaces y archivos adjuntos) y el exploit de aplicaciones públicas ocupan las primeras posiciones de las principales técnicas de acceso inicial.

Exploit de aplicaciones públicas

Enlace de phishing dirigido

Cuentas válidas

Servicios remotos externos

Ejecución Shell de comandos de Windows

En este periodo hemos observado varios ataques que utilizan PowerShell o el shell de comandos de Windows para ejecutar malware en la memoria o para emplear herramientas de doble uso o no maliciosas en sus intentos de explotación de red. A menudo se suelen incorporar scripts de línea de comandos a marcos de pruebas de penetración como Cobalt Strike para facilitar la ejecución.

PowerShell

Archivos maliciosos

Instrumental de administración de Windows:

Módulos compartidos

Persistencia Claves de ejecución del registro/carpeta de inicio

Tarea planificada

Servicio de Windows

Cuentas válidas

Carga en DLL

Elevación de privilegios

Claves de ejecución del registro/carpeta de inicio

Inyección de procesos La inyección de procesos sigue siendo una de las principales técnicas de elevación de privilegios.

Tarea planificada

Servicio de Windows

Inyección de un Portable Executable

Evasión de defensas

Desofuscación/descodificación de archivos o información

Archivos o información ocultos

Modificación del registro

Comprobaciones del sistema

Eliminación de archivos


INFORME

14


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos


Acceso a credenciales

Registro de pulsaciones El registro de pulsaciones y la recopilación de credenciales en navegadores web son funcionalidades habituales en la mayoría de los troyanos de acceso remoto (RAT).

Credenciales en navegadores web

Volcado de credenciales de SO

Esta técnica es la principal funcionalidad de la herramienta de recopilación de credenciales Mimikatz, que el equipo de ATR ha observado en muchas de las campañas analizadas en el segundo trimestre.

Captación de datos introducidos

Memoria de LSASS

Descubrimiento Descubrimiento de información del sistema

Descubrimiento de archivos y directorios

Descubrimiento de procesos

Comprobaciones del sistema

Registro de consultas

Desplazamiento lateral

Protocolo de escritorio remoto

Aprovechamiento de servicios remotos

Copia remota de archivos

SMB/Recursos compartidos de administración de Windows

SSH

Recopilación Captura de pantalla En el segundo trimestre se llevaron a cabo varias campañas en las que se emplearon RAT. La captura de pantalla fue una técnica a la que recurrieron muchas de las variantes del malware RAT.

Registro de pulsaciones

Datos del sistema local

Datos del portapapeles

Datos recopilados de archivo


INFORME

15


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos


Mando y control Protocolos web

Transferencia de herramientas de entrada

Puerto no estándar

Servicio web

Protocolos de capa que no son de aplicaciones

Filtración Filtración a través de canal de mando y control

Filtración a través de protocolo alternativo

Filtración a almacenamiento en la nube

Los autores de amenazas de ransomware siguieron filtrando datos de las víctimas a diferentes proveedores de almacenamiento en la nube. La mayoría de las veces se hace mediante herramientas comerciales como RClone y MegaSync.

Filtración automatizada

Filtración mediante un protocolo distinto de C2 sin cifrado/ofuscación

Impacto Datos cifrados para generar un impacto

El cifrado de datos para generar un impacto es, de nuevo, la técnica más utilizada en las campañas y amenazas que el equipo de ATR analizó. Este trimestre, varias familias de ransomware han lanzado un bloqueador basado en Linux contra servidores ESXi, lo que supone un incremento aún mayor del uso de esta técnica.

Inhibición de la recuperación del sistema

Esta es una técnica que los grupos de ransomware suelen utilizar antes de entregar la carga útil final. Al eliminar las instantáneas de volumen, dificultan a sus víctimas recuperarse del ataque.

Secuestro de recursos

Parada del servicio

Apagado/reinicio del sistema

Tabla 8. Notas de las principales técnicas de MITRE ATT&CK utilizadas en APT/delincuencia (T2 2021).


INFORME

16


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos


En el segundo trimestre de 2021 vimos y comentamos varios tipos de amenazas diferentes. Por suerte, también le ofrecemos consejos y productos para que usted y su organización sigan a salvo.

Descubra cómo la configuración de ENS 10.7, la protección contra la manipulación y la reversión pueden protegerle del ransomware Cuba, o consulte nuestro exhaustivo blog redactado especialmente para los defensores.

Recuerde cómo puede bloquear todas esas molestas ventanas emergentes de su navegador y cómo quedan nuestros clientes protegidos de los sitios maliciosos gracias a McAfee WebAdvisor y McAfee Web Control.

Descubra la manera en que los estafadores se hacen pasar por Windows Defender para introducir aplicaciones de Windows maliciosas, y lea nuestros consejos de seguridad para hacer frente a esta situación. A los clientes les encantará saber que Real Protect en la nube les protege de forma proactiva mediante el aprendizaje automático, y que los clientes de McAfee WebAdvisor y McAfee Web Control están protegidos de los sitios maliciosos de los que ya hay constancia.

Aprenda las mejores prácticas para vigilar su red y protegerla de uno de los ransomware de los que más se ha hablado este trimestre: DarkSide. Este blog también ofrece abundante información sobre cobertura y protección, con temas como las EPP, ENS, y MVISION Insights y MVISION EDR.

Por último, descubra por qué las máquinas virtuales son tan valiosas para los ciberdelincuentes y por qué los usuarios de VMware afectados deben aplicar inmediatamente un parche en su sistema. Para quienes no puedan instalar parches de inmediato, ofrecemos consejos prácticos y les recordamos que Network Security Platform ofrece firmas para las CVE en cuestión.


INFORME

17


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-atr-threat-report-a-quick-primer-on-cuba-ransomware/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-defenders-blog-cuba-ransomware-campaign/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/mcafee-defenders-blog-cuba-ransomware-campaign/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-stop-the-popups/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/how-to-stop-the-popups/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/scammers-impersonating-windows-defender-to-push-malicious-windows-apps/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/scammers-impersonating-windows-defender-to-push-malicious-windows-apps/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/darkside-ransomware-victims-sold-short/

https://www.mcafee.com/blogs/other-blogs/mcafee-labs/are-virtual-machines-the-new-gold-for-cyber-criminals/

Recursos

Consulte los recursos de nuestro equipo para estar al día de las últimas amenazas e investigaciones:

Panel de vista preliminar de MVISION Insights: descubra la única solución proactiva que le permite anticiparse a las amenazas nuevas.

Centro de amenazas de McAfee: nuestro equipo de investigación de amenazas ha identificado las amenazas que hoy causan más impacto.

Twitter

Raj Samani

Christiaan Beek

John Fokker

Steve Povolny

Douglas McKee


INFORME

18

Av. Paseo de la Reforma No.342 Piso 25Colonia Juárez, México DFC.P. 06600+52-55-50890250www.mcafee.com/mx

McAfee y el logotipo de McAfee son marcas comerciales o marcas comerciales registradas de McAfee, LLC o de sus empresas filiales en EE. UU. y en otros países. Los demás nombres y marcas pueden ser reclamados como propiedad de otros. Copyright © 2021 McAfee, LLC. 4788_1021OCTUBRE DE 2021


RANSOMWARE


AMENAZAS EN LA NUBE




Recursos

https://www.mcafee.com/enterprise/es-mx/home.html

https://www.mcafee.com/enterprise/es-mx/lp/insights-preview.html

https://www.mcafee.com/enterprise/es-mx/threat-center.html

https://twitter.com/Raj_Samani

https://twitter.com/christiaanbeek

https://twitter.com/John_Fokker

https://twitter.com/spovolny

https://twitter.com/fulmetalpackets

http://www.mcafee.com/mx

Informe d e Advanced

Documents